Tags:
Node Thumbnail

จากกรณี รายงานจาก Bloomberg เผยจีนฝังชิปบนเมนบอร์ด Supermicro เปิดทางควบคุมเครื่อง ซึ่งทาง Supermicro ก็ออกมาปฏิเสธ

ล่าสุด Supermicro ยังใช้ผู้ตรวจสอบภายนอกบริษัทมาตรวจสอบเรื่องนี้อีกชั้น (เพื่อความเป็นกลาง) โดยตรวจสอบจากบอร์ดหลายรุ่นและหลายช่องทาง ผลคือไม่พบร่องรอยใดๆ ของการถูกฝังชิป

Supermicro บอกว่ากระบวนการของบริษัทใส่ใจเรื่องความปลอดภัยของซัพพลายเชนเป็นอย่างดีอยู่แล้ว และมีพนักงานของบริษัทเข้าไปกำกับกระบวนการผลิตของโรงงานตลอดเวลา จึงอยากให้ลูกค้ามั่นใจได้ว่ารายงานของ Bloomberg ไม่เป็นความจริง

Tags:
Node Thumbnail

กูเกิลประกาศข้อมูลเพิ่มเติมเกี่ยวกับบริการ Google+ ที่เคยประกาศว่าจะปิดให้บริการในเดือนสิงหาคมปีหน้า โดยกูเกิลบอกว่าได้ค้นพบบั๊กที่เกิดจากการอัพเดตซอฟต์แวร์เมื่อเดือนพฤศจิกายนที่ผ่านมา กระทบต่อ Google+ API กระทบผู้ใช้ 52.5 ล้านบัญชี โดยบั๊กนี้ทำให้ API สามารถเข้าถึงข้อมูลพื้นฐานผู้ใช้งาน อาทิ ชื่อ เมล อาชีพ อายุ ได้ แม้ผู้ใช้จะกำหนดค่าไม่เป็นสาธารณะก็ตาม

อย่างไรก็ตามกูเกิลบอกว่าบั๊กนี้แก้ไขเสร็จในเวลา 6 วัน และไม่พบหลักฐานว่ามีแอปภายนอกเข้ามาดึงข้อมูลออกไปได้

Tags:
Node Thumbnail

เว็บ Linux.org ที่เป็นชุมชนผู้ใช้ลินุกซ์ ถูกยึดโดเมนด้วยการแฮกบัญชี DNS บน Network Solutions และเปลี่ยนรหัสไม่ให้เจ้าของเดิมล็อกอินได้

โดเมนถูกชี้ไปยัง Cloudflare เพื่อแสดงเว็บโป๊อยู่ระยะหนึ่งก่อน Cloudflare จะบล็อคโดเมน และทางแอดมินสามารถพิสูจน์ตัวตนเพื่อกลับไปควบคุมบัญชีได้

ตัวเซิร์ฟเวอร์เว็บไม่ได้รับผลกระทบ และทางผู้ดูแลระบุว่าจะใช้การล็อกอินหลายขั้นตอนต่อไป

ผู้ใช้ทวิตเตอร์ @kitlol5 อ้างความรับผิดชอบในการแฮกครั้งนี้ด้วยการโพสภาพ screenshot ของ Network Solutions ให้เห็นว่าสามารถเข้าไปจัดการโดเมนได้

Tags:
Node Thumbnail

Apple ได้ปล่อย Safari Technology Preview 71 โดยมีฟีเจอร์หนึ่งที่สำคัญคือรองรับ WebAuthentication หรือ WebAuthn ซึ่งเป็น API สำหรับการล็อกอินด้วยกุญแจความปลอดภัยแบบ USB

WebAuthn นั้นเป็นมาตรฐานล็อกอินจาก W3C ที่เปิดตัวอย่างเป็นทางการเมื่อต้นปีที่ผ่านมา โดยสำหรับ Safari นั้นจะรองรับการล็อกอินด้วยโปรโตคอล Client to Authenticator Protocol หรือ CTAP เวอร์ชันที่ 2 ซึ่งเบราว์เซอร์หลักเจ้าอื่นอย่าง Firefox และ Chrome นั้นรองรับฟีเจอร์นี้ไปแล้ว

Tags:
Node Thumbnail

Google ได้ปล่อยแพตช์ให้กับ Kubernetes เวอร์ชัน 1.10.11, 1.11.5 และ 1.12.3 เพื่อแก้ปัญหาช่องโหว่ CVE-2018-1002105 ระดับวิกฤติ (critical) พร้อมแนะนำให้คลัสเตอร์ที่รันซอฟต์แวร์ที่เก่ากว่านี้ให้อัพเดตโดยด่วน โดยแพตช์นี้จะรวมอยู่ในเวอร์ชัน 1.13.0 ที่กำลังจะออกด้วย

ช่องโหว่ CVE-2018-1002105 กระทบซอฟต์แวร์ทุกเวอร์ชันที่ผ่านมา ทำให้แฮกเกอร์สามารถใช้การยืนยันตัวตน TLS ของเซิร์ฟเวอร์ Kubernetes API เพื่อส่งคำสั่งใดๆ ไปยังหลังบ้าน โดยคำสั่งดังกล่าวจะถูกเก็บล็อกเอาไว้ใน kublet หรือระบบล็อกกลางและไม่สามารถแยกออกจากคำสั่งปกติได้

Tags:
Node Thumbnail

Quora เว็บไซต์ตั้งกระทู้ถามตอบได้แถลงว่าเว็บไซต์ถูกแฮ็กเมื่อวันศุกร์ที่ผ่านมา บริษัทระบุว่าน่าจะพบสาเหตุแล้วแต่ยังไม่เปิดเผย และกำลังสืบสวนสอบสวนเพิ่มเติม รวมถึงพยายามป้องกันไม่ให้เกิดเหตุขึ้นอีก

ส่วนข้อมูลที่หลุดไปนั้นมีทั้งอีเมล, พาสเวิร์ดที่ถูกเข้ารหัส, ข้อมูลบัญชีที่ถูกลิงก์ ไปจนถึงคอนเทนท์ที่ทั้งเป็นสาธารณะและที่ไม่เป็นสาธารณะ โดยคอนเทนท์ที่ถูกเขียนโดยผู้ใช้ที่ไม่เปิดเผยตัวตน (anonymous) ไม่ได้รับผลกระทบ เพราะ Quora ไม่เก็บข้อมูลผู้ใช้ที่เลือกไม่เปิดเผยตัวตน

Quora ระบุว่าอยู่ระหว่างการแจ้งเตือนผู้ใช้ที่น่าจะได้รับผลกระทบผ่านทางอีเมล รวมถึงล็อกเอ้าท์บัญชีที่ได้รับผลกระทบและยกเลิกพาสเวิร์ดของบัญชีนั้นๆ ที่ใช้งานอยู่

Tags:
Node Thumbnail

วันนี้กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนธันวาคม 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 ธ.ค. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 ธ.ค. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 ธ.ค. มาด้วย)

แพตช์ 1 ธ.ค. แก้ช่องโหว่ด้านความปลอดภัย 17 จุด (CVE) เป็นระดับร้ายแรง (critical) 6 จุด เป็นเรื่องของ Mediaserver เจ้าเก่าทั้ง 4 จุด ส่วนแพตช์ 5 ธ.ค. แก้เพิ่มอีก 36 จุด ส่วนมากเป็นเรื่องช่องโหว่บนไดรเวอร์ของผู้ผลิตอย่าง Qualcomm โดยเป็นช่องโหว่ระดับร้ายแรงถึง 5 จุด

Tags:
Node Thumbnail

จากปัญหาความปลอดภัยเมื่อปี 2016 ทำให้ทางการเยอรมนีได้ออกร่างกฎความปลอดภัยเราเตอร์สำหรับเราเตอร์ประเภทที่ใช้ในออฟฟิศขนาดเล็กและโฮมออฟฟิศ (SOHO) โดยอุปกรณ์ที่ทำตามกฎนี้จะสามารถแสดงสติกเกอร์บนผลิตภัณฑ์ได้ แต่ไม่มีการบังคับให้ตรวจแต่อย่างใด

ตัวอย่างข้อกำหนดในร่างนี้ เช่น ห้ามชื่อไวไฟตั้งต้น (ESSID) เกี่ยวข้องกับข้อมูลจากเราเตอร์ (เช่นตั้งเป็นชื่อผู้ผลิต รุ่น หรือแมคแอดเดรส), ถ้าต้องการให้ควบคุมเราเตอร์ผ่านอินเทอร์เน็ตได้ จะต้องใช้ HTTPS, มีการป้องกัน brute force login, มีการใช้ CSRF token, ห้ามมีบัญชีลับ (backdoor), มีการแจ้งหากเฟิร์มแวร์เก่าหรือหมดอายุ

Tags:
Topics: 
Node Thumbnail

งานวิจัย Rowhammer เป็นการโจมตีที่ชิปแรมของเครื่องเหยื่อ ด้วยการยิงคำสั่งเฉพาะ ทำให้ซอฟต์แวร์สามารถเปลี่ยนค่าแรมตำแหน่ง "ข้างๆ" ของหน่วยความจำที่ตัวซอฟต์แวร์ใช้งานอยู่ โดยก่อนหน้านี้เชื่อกันว่าการโจมตีแบบนี้ไม่สามารถโจมตีเซิร์ฟเวอร์ที่ใช้แรม ECC ที่ป้องกันการแก้ไขค่า แต่งานวิจัยล่าสุดก็สาธิตการโจมตีได้สำเร็จแม้จะซับซ้อนขึ้น

Rowhammer ต้นฉบับเป็นงานวิจัยของกูเกิลตั้งแต่ปี 2015 โดยสามารถโจมตีได้สำเร็จกับชิปแรมบางรุ่นเท่านั้น งานวิจัยใหม่จากมหาวิทยาลัย Vrije เลือกใช้ชิปแรมจากผู้ผลิตที่เคยพบว่าสามารถโจมตี Rowhammer ต้นฉบับได้ แต่เป็นแพ็กแรมแบบ ECC สำหรับเซิร์ฟเวอร์

Tags:
Topics: 
Node Thumbnail

แพ็กเกจ event-stream ใน npm ย้ายเจ้าของจากผู้ดูแลเดิมมาสู่ผู้ใช้ GitHub ที่ชื่อว่า right9ctrl และออกเวอร์ชั่นใหม่เมื่อไม่กี่วันที่ผ่านมา และพบว่าโค้ดที่เพิ่มเข้ามามีโค้ดมุ่งร้าย น่าจะใช้ขโมยเงินคริปโต

แพ็กเกจ event-stream มีจำนวนดาวน์โหลดเกือบสองล้านครั้งต่อสัปดาห์ โดย dominictarr ผู้ดูแลเดิมระบุว่าเขาไม่ได้ใช้โครงการนี้มานานแล้ว เมื่อ right9ctrl เข้ามาขอดูแลโครงการต่อจึงยกให้ไป

เวอร์ชั่นของแพ็กเกจที่ได้รับผลกระทบคือเวอร์ชั่น 3.3.6 ผู้ใช้ทุกคนควรตรวจสอบว่ามีโค้ดรันอยู่หรือไม่ ตอนนี้โค้ดถูกถอดออกจาก npm เรียบร้อยแล้วแต่อาจจะเหลืออยู่ในแคชของเครื่องผู้ใช้

Tags:
Node Thumbnail

Kochava บริษัทวิเคราะห์ข้อมูลแอพมือถือ ค้นพบว่าแอพชื่อดังจากบริษัทจีน Cheetah Mobile เจ้าของแอพหลายตัวอย่าง Clean Master, CM Launcher, Security Master, Speed Booster, PhotoGrid, Cheetah Keyboard, CM File Manager มีพฤติกรรมการโกงทราฟฟิกโฆษณาภายในแอพของตัวเอง

การกระทำแบบนี้เรียกว่า ad fraud เป็นการจำลองการคลิกโฆษณาของผู้ใช้งาน โดยที่ผู้ใช้ไม่ได้คลิกโฆษณาจริงๆ (click flooding หรือ click injection) ทำให้นักพัฒนาแอพมีรายได้จากส่วนแบ่งโฆษณาเพิ่มขึ้น ในแง่ของผู้ใช้งานอาจได้รับผลกระทบจากการซื้อสินค้าไม่พึงประสงค์บางอย่าง หรือถูกตัดเงินโดยไม่รู้ตัว

Tags:
Node Thumbnail

USPS หรือไปรษณีย์สหรัฐฯ​ มีบริการ API สำหรับอำนวยความสะดวกให้ผู้ใช้บริการที่รับจดหมายจากไปรษณีย์ แต่มีนักวิจัยค้นพบว่า API นี้มีช่องโหว่ที่เปิดให้ใครก็ได้ค้นข้อมูลของคนอื่นได้โดยใช้สัญลักษณ์ wildcard

API ที่เป็นปัญหาของ USPS ชื่อว่า InformedDelivery เป็นเครื่องมือให้ผู้ใช้อ่านจดหมายก่อนจะมาส่งถึงบ้าน และให้ API นี้เชื่อมต่อจดหมายเข้ากับบริการบางอย่างได้ด้วย แต่มีนักวิจัยความปลอดภัยที่ไม่เปิดเผยตัวตนค้นพบว่า API นี้เปิดให้ผู้ใช้สามารถค้นหาข้อมูลโดยใช้สัญลักษณ์ wildcard ซึ่งจะทำให้ผู้ใช้เห็นข้อมูลของคนอื่นด้วย โดยจากการทดลองพบว่าสามารถดึงข้อมูลได้นับล้าน record

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศว่าแอคเคาท์ไมโครซอฟท์รองรับการล็อกอินด้วยคีย์ FIDO2 และ Windows Hello แล้ว โดยจะใช้ได้เฉพาะบน Windows 10 (October 2018) ขึ้นไปและเฉพาะบน Microsoft Edge เท่านั้น

การตั้งค่าต้องเข้าไปที่หน้าแอคเคาท์ไมโครซอฟท์ เลือก Security และ More Security Options แล้วกด Windows Hello and Security Keys เพื่อตั้งค่า

ที่มา - Microsoft

Tags:
Topics: 
Node Thumbnail

งานเปิดตัวผลิตภัณฑ์ใหม่ของแอปเปิลเมื่อเดือนที่แล้วมาพร้อมกับชิปความปลอดภัย T2 ที่ไม่เพียงดูแลเรื่อง Touch ID หรือการเข้ารหัสข้อมูลในเครื่องเท่านั้น แต่ยังตรวจสอบฮาร์ดแวร์ในเครื่องหลังการซ่อม ว่ามาจากแอปเปิลหรือตัวแทนที่ได้รับการรับรองหรือไม่ด้วย

แอปเปิลยืนยันประเด็นนี้กับ The Verge ระบุว่ามีผลกับอุปกรณ์แมครุ่นใหม่ๆ และกับชิ้นส่วนบางชิ้นอย่างโลจิคบอร์ดหรือ Touch ID แต่ก็ไม่ได้เปิดเผยข้อมูลชิ้นส่วนอื่นๆ ว่าเข้าข่ายแค่ไหน ขณะที่การทำงานของชิปคือจะตรวจสอบว่าชิ้นส่วนที่ถูกเปลี่ยนมานั้น ผ่านการรันด้วยซอฟต์แวร์ Apple Service Toolkit 2 ที่มีเฉพาะแอปเปิลและตัวแทนที่ได้รับการรับรองเท่านั้น

Tags:
Node Thumbnail

บริษัท Voxox ผู้ให้บริการสื่อสารที่มีสำนักงานอยู่ในรัฐแคลิฟอร์เนียถูกค้นพบว่าไม่ได้ล็อกรหัสผ่านเซิร์ฟเวอร์ฐานข้อมูลไว้ เปิดให้ใครก็ได้เข้าใช้งานและเก็บข้อความ SMS ได้ทันทีในระดับเกือบเรียลไทม์

Sébastien Kaul นักวิจัยความปลอดภัยระบุว่า เขาพบเซิร์ฟเวอร์นี้จาก Shodan เสิร์ชเอนจินที่ค้นหาฐานข้อมูลและอุปกรณ์ที่เข้าถึงได้จากสาธารณะ และเซิร์ฟเวอร์นี้ถูกผูกเข้ากับซับโดเมนของ Voxox ด้วย

Tags:
Node Thumbnail

ในยุคนี้ อุปกรณ์ไอทีกลายเป็นของขวัญสำคัญในช่วงเทศกาล ไม่ว่าจะเป็นอุปกรณ์อัจฉริยะ เครื่องเกม ที่ผู้รับจะรู้สึกยินดีที่ได้ ล่าสุด Mozilla ทำการจัดอันดับไอเดียของขวัญที่เป็น gadget อุปกรณ์ไอที 70 ชิ้น ที่ถูกใจผู้รับ แต่ก็เก็บรวบรวมข้อมูลของผู้ใช้ไปมากเช่นกัน

ผู้อ่านสามารถเข้าไปลองดูในเว็บไซต์และกดดูอุปกรณ์แต่ละชิ้นว่าอยู่ในระดับไหน พอรับได้ไหมเรื่องความปลอดภัย มีโอกาสมากเท่าไรที่เราจะถูกสอดแนม ล้วงข้อมูลจากอุปกรณ์ชิ้นนี้ และสามารถถูกขโมยข้อมูลได้จากทางไหนบ้าง เช่น กล้อง ไมโครโฟน พิกัดสถานที่ เป็นต้น และจะมีระบุด้วยว่าอุปกรณ์ชิ้นนี้มีการเข้ารหัสหรือไม่ แชร์ข้อมูลให้ภายนอกหรือไม่ ผู้อ่านยังสามารถไปโหวตได้ว่า เมื่อได้รู้รายละเอียดเรื่องความปลอดภัยแล้ว จะให้คะแนนความปลอดภัยในระดับไหน

Tags:
Node Thumbnail

Mozilla ประกาศอัพเดตฟีเจอร์ใหม่เพิ่มให้ Firefox Monitor ระบบแจ้งเตือนผู้ใช้หากเว็บไซต์มีการรั่วไหลของข้อมูล โดยเพิ่มให้ Firefox Monitor รองรับอีกหลายภาษา และเพิ่มระบบแจ้งเตือน Firefox Monitor ให้แจ้งเตือนผู้ใช้ผ่านเบราว์เซอร์ Firefox ได้เลย

Tags:
Topics: 
Node Thumbnail

มีผู้ใช้ Apple ID บางส่วนประสบปัญหาบัญชีถูกล็อก และบังคับเปลี่ยนรหัสใหม่โดยไม่มีสาเหตุ

ปกติแล้ว ระบบนี้จะทำงานเมื่อมีปัจจัยที่ส่งผลต่อความปลอดภัยของบัญชี เช่น มีคนพยายามล็อกอินเข้าไปยังบัญชีโดยใช้รหัสที่ผิดเป็นจำนวนหลายๆ ครั้ง เมื่อบัญชีถูกล็อกแล้ว ผู้ใช้ต้องใส่รหัสหรือเปลี่ยนรหัสใหม่ หากไม่ทำจะไม่สามารถใช้งาน iMessage, iCloud และ Apple Music ได้

เหตุการณ์ครั้งนี้มีการคาดเดาไว้หลายสาเหตุ เช่น อาจมีกลุ่มผู้ไม่หวังดีพยายามแฮ็กเข้ามาในระบบ (บางคนได้รับข้อความการล็อกอินแอปเปิลไอดีจากอุปกรณ์ใหม่) หรืออาจเป็นแค่บั๊กของแอปเปิลก็เป็นได้ อย่างไรก็ตามยังไม่มีการชี้แจงใดๆ จากแอปเปิลเพื่ออธิบายเหตุการณ์ดังกล่าว

Tags:
Node Thumbnail

PayMe บริการ e-Wallet ของธนาคาร HSBC ในฮ่องกงถูกโจมตีจากอาชญากรด้วยการหลอกเหยื่อเอารหัสอีเมล เพื่อรีเซ็ตรหัสผ่านตัวแอป และสั่งโอนเงินออกไปจากเหยื่อประมาณ 20 ราย รวมมูลค่าความเสียหาย 100,000 ดอลลาร์ฮ่องกง

เหยื่อเหล่านี้ถูกอีเมล phishing หลอกถามรหัสผ่าน แต่ตัวแอปเองกลับไม่ได้ป้องกันเงินด้วยการล็อกอินสองขั้นตอน แต่ต้องการเพียงรหัสผ่านที่รีเซ็ตด้วยอีเมลได้

ผู้เชี่ยวชาญความปลอดภัยไซเบอร์หลายรายในฮ่องกง เช่น ประธานสมาคมอินเทอร์เน็ตฮ่องกง, ประธานสหพันธ์เทคโนโลยีสารสนเทศฮ่องกง ออกมาแสดงความเห็นเป็นเสียงเดียวกันว่าการป้องกันลูกค้าเป็นหน้าที่ของธนาคาร ในกรณีธนาคารควรใช้การล็อกอินสองขั้นตอนเพื่อช่วยเพิ่มความปลอดภัย

ทาง HSBC ยืนยันว่าแอปไม่ได้มีช่องโหว่และปลอดภัยดี

Tags:
Node Thumbnail

กูเกิลรายงานถึงอัตราการติดตั้งแอปพลิเคชั่นที่อาจจะมีอันตราย (Potentially Harmful Applications - PHA) โดยระบุว่าหลังจากนี้จะรวมเข้าเป็นส่วนหนึ่งของรายงานความโปร่งใสของกูเกิล

รายงานแสดงให้เห็นว่าการติดตั้งแอปผ่าน Google Play นั้นเสี่ยงน้อยกว่าการโหลดแอพเองประมาณ 9 เท่าตัว และผู้ใช้แอนดรอยด์เวอร์ชั่นใหม่ๆ ก็เสี่ยงติดตั้งแอป PHA น้อยกว่ามาก และเมื่อแยกอัตราการติดตั้งแอปอันตรายเหล่านี้ สามประเทศแรกที่อัตราการติดตั้งสูงสุดคือ อินโดนีเซีย, อินเดีย, และสหรัฐฯ

Tags:
Node Thumbnail

ไมโครซอฟท์ออกเอกสารคำแนะนำความมั่นคงปลอดภัย ADV180028 แนะนำกระบวนการปิดการเข้ารหัสด้วยเฟิร์มแวร์ของผู้ผลิต SSD และหันมาใช้ซอฟต์แวร์ของ BitLocker เองโดยตรง หลังจากเมื่อวานนี้มีรายงานถึงช่องโหว่ของกระบวนการเข้ารหัสบนเฟิร์มแวร์ผู้ผลิต SSD

กระบวนการ ให้คอนฟิก Group Policy เพื่อบังคับใช้ซอฟต์แวร์เข้ารหัสเท่านั้น, จากนั้นปิดการเข้ารหัส, และสั่งเปิด BitLocker ใหม่อีกครั้ง ดิสก์ก็เข้ารหัสด้วยซอฟต์แวร์ของ BitLocker โดยตรง ไม่ได้ใช้เฟิร์มแวร์ดิสก์อีกต่อไป

เอกสารย้ำว่าผู้ใช้ไม่ต้องฟอร์แมตดิสก์ใหม่แต่อย่างใด

Tags:
Node Thumbnail

SSD รุ่นสูงๆ หลายรุ่นมักโฆษณาว่ามีความสามารถเข้ารหัสดิสก์ในตัว แต่งานวิจัยล่าสุดจากทีมวิจัย มหาวิทยาลัย Radboud ในเนเธอร์แลนด์ พบว่ากระบวนการเข้ารหัสจากผู้ผลิตดิสก์มักมีอ่อนแอ แฮกเกอร์สามารถกู้กุญแจเข้ารหัสได้โดยง่าย

ทีมงานทดสอบ SSD จำนวน 7 รุ่นจาก Crucial และ Samsung พบว่ามีช่องโหว่จำนวนมาก ดิสก์บางรุ่นไม่ได้เข้ารหัสกุญแจถอดรหัสดิสก์ด้วยรหัสผ่าน เมื่อนักวิจัยรีเซ็ตรหัสผ่านของเฟิร์มแวร์ก็สามารถถอดรหัสดิสก์ได้ทันที

Tags:
Node Thumbnail

วันนี้กูเกิลออกแพตช์ความปลอดภัย Android ประจำเดือนพฤศจิกายน 2018 แพตช์รอบนี้เป็นแบบตามปกติมี 2 ชุด ได้แก่ชุด 1 พ.ย. สำหรับพาร์ทเนอร์ที่ต้องการอุดช่องโหว่ก่อน ชุด 5 พ.ย. ที่เป็นแพตช์ชุดสมบูรณ์ (แพตช์ตัวนี้จะรวมเอาแพตช์ 1 พ.ย. มาด้วย)

แพตช์ 1 พ.ย. แก้ช่องโหว่ด้านความปลอดภัย 17 จุด (CVE) เป็นระดับร้ายแรง (critical) 4 จุด เป็นเรื่องของ Mediaserver เจ้าเก่าทั้ง 4 จุด ส่วนแพตช์ 5 พ.ย. แก้เพิ่มอีก 19 จุด เกือบทั้งหมดเป็นเรื่องช่องโหว่บนไดรเวอร์ของผู้ผลิตอย่าง Qualcomm เกือบทั้งหมด เป็นช่องโหว่ระดับร้ายแรงถึง 3 จุด

Tags:
Node Thumbnail

Sébastien Lachance นักพัฒนาแอปสายวินโดวส์รายหนึ่งได้พบบั๊กบน Windows 10 ที่กระทบทุกเวอร์ชันก่อน Build 1809 เปิดช่องให้แอป UWP ที่ขอสิทธิ broadFileSystemAccess สามารถเข้าถึงไฟล์ทั้งหมดในเครื่องได้เลย โดยไม่ขึ้นหน้าให้ผู้ใช้กดอนุญาตก่อน

Lachance พบบั๊กนี้หลังจากแอปของตัวเองที่ขอ broadFileSystemAccess แครชตอนเปิดหลังอัพเดตเมื่อเดือนตุลาคมที่ผ่านมา (v1809) เพราะไมโครซอฟท์ได้ปรับแก้ให้ผู้ใช้ต้องกดอนุญาตสำหรับแอปที่ขอเข้าถึงไฟล์ทั้งหมดในหน้า settings ตามที่ระบุเอาไว้ในเอกสารสำหรับนักพัฒนาว่าแอปที่จะเข้าถึง File System จะต้องเปิดหน้า settings ขึ้นมาเพื่อให้ผู้ใช้ยืนยัน

อย่างไรก็ตามไมโครซอฟท์ไม่ได้แสดงความเห็นต่อประเด็นนี้

Tags:
Node Thumbnail

กูเกิลประกาศว่า Chrome 71 ที่มีกำหนดออกในเดือนธันวาคม 2018 จะบล็อคโฆษณาของเว็บไซต์ที่ถูกขึ้นบัญชีดำว่าเป็นเว็บไซต์ที่สร้างประสบการณ์ไม่ดีแก่ผู้ใช้ (กูเกิลใช้คำว่า abusive experience)

เว็บไซต์ที่เข้าข่าย abusive experience คือพยายามล่อให้ผู้ใช้กดโฆษณาบนเว็บไซต์ด้วยวิธีการต่างๆ ทั้งแบนเนอร์ ป๊อปอัพ วิดีโอ หรือหลอกให้ดาวน์โหลดแอพบนมือถือ ตัวอย่างเทคนิคที่ใช้งาน เช่น ปุ่ม x ปิดโฆษณาที่ไม่ได้ปิดโฆษณาจริงๆ หรือแบนเนอร์ที่หน้าตาเหมือนข้อความแจ้งเตือนของ OS

ก่อนหน้านี้กูเกิลมีมาตรการบล็อคป๊อปอัพและการเปิดหน้าต่างใหม่ แต่พบว่ามาตรการเหล่านี้ไม่เพียงพอ กูเกิลจึงตัดสินใจใช้ยาแรงขึ้น โดยบล็อคโฆษณาทั้งหมดอย่างสมบูรณ์

Pages